§ 6.3 Beskyttelse, avskjerming og tilgangskontroll
Virksomheter som har eller behandler kraftsensitiv informasjon skal etablere, opprettholde og videreutvikle system og rutiner for effektiv avskjerming, beskyttelse og tilgangskontroll for kraftsensitiv informasjon. Beskyttelse skal omfatte tiltak mot avlytting og manipulering fra uvedkommende.
System og rutiner skal omfatte merking, oppbevaring, bruk og distribusjon, tilintetgjøring og tiltak for intern og ekstern rapportering av hendelser av betydning for informasjonssikkerheten.
Særskilte regler og sikkerhetstiltak skal utarbeides ved bruk av mobile enheter som kan motta, sende og lese kraftsensitiv informasjon.
Ordforklaring
|
Beskyttelse |
Verne og forsvare mot misbruk, uønsket tilgang og urettmessig endring |
|
Avskjerming |
Forhindre tilgang totalt for andre enn rettmessige (godkjente) brukere |
|
Tilgangskontroll |
Mekanisme for å styre adkomst eller tilgang til informasjon, digitale tjenester, IT-systemer, dokumenter og rom. Tilgang styres med utgangspunkt i en sikkerhetsinstruks som virksomhetens ledelse har godkjent |
|
Mobile enheter |
Smarttelefoner, nettbrett, kameraer, bærbare pc-er og liknende som kan kobles opp mot et nettverk eller internett |
|
System og rutiner |
Med dette menes internkontrollsystem/styringssystem for informasjonssikkerhet, se også § 2-10. |
Hvordan oppfylle kravet
Virksomheten må etablere, opprettholde og videreutvikle system og rutiner for effektiv avskjerming, beskyttelse og tilgangskontroll for kraftsensitiv informasjon. Virksomheten må sørge for at tiltakene som nevnt i bestemmelsen er inkludert og dokumentert i internkontrollsystemet:
- Tiltak mot avlytting og manipulering fra uvedkommende
- Merking av dokumenter, oppbevaring, bruk, distribusjon og tilintetgjøring
- Rapportering av hendelser av betydning for informasjonssikkerheten
- Sikkerhetsregler for bruk av mobile enheter
Tiltak som vurderes for tilgangskontroll og beskyttelse bør omfatte:
- Administrative tiltak, herunder sikkerhetsinstruks, taushetserklæringer og sikkerhetsavtaler
- Tekniske tiltak, herunder teknisk sikring av printere, bærbare PC-er, mobile enheter gjennom tilgangsstyring, passordpolitikk som anbefalt av NSM, oppdatering av programvarepolicy, soneinndeling, overvåkning og logging mm, se ellers § 6-9. Ved logging må behandling av personopplysninger være i samsvar med personopplysningsregleverket
- Organisatoriske tiltak for bevisstgjøring og opplæring av ansatte og innleid personell
- Fysisk tiltak for å sikre effektiv tilgangskontroll og beskyttelse, eks. lås på rom
Se mer om tiltak under § 6.5.
Merk at kravene i § 6-3 om beskyttelse, avskjerming og tilgangskontroll også gjelder for analog informasjon og manuelle informasjonssystemer. Ved forsendelse med posten, bruk rekommendert brev.
Merking av kraftsensitiv informasjon
Bestemmelsen oppstiller en plikt til å merke kraftsensitiv informasjon. Databaser som inneholder kraftsensitiv informasjon, kan merkes gjennom navngivning og koding, eks. “U-OFF-navn". Merk at offentleglova gjelder ikke for private virksomheter (se offentleglova § 2). Private aktører merker kun iht. energiloven og kbf. NVE anbefaler at merking av dokumenter gjøres på denne måten:
|
Merking av kraftsensitiv informasjon |
|
|
Norsk – bokmål |
Underlagt taushetsplikt etter energiloven § 9-3 jf. kbf. § 6-2. Unntatt fra innsyn etter offentleglova § 13. |
|
Norsk – Nynorsk |
Underlagd teieplikt etter energiloven § 9-3 jf. kbf. § 6-2. Unntatt frå innsyn etter offentleglova § 13. |
|
Engelsk |
Subject to duty of confidentiality according to section 9-3 of the Norwegian Energy Act. Exempted from inspection according to section 13 of the Norwegian Freedom of Information Act. |
Eksempel: Nyansatt
En nyansatt i en stilling hos Vindkraft AS må ha tilgang til datanettverk og servere, og virksomhetens kontorlokaler. Nærmeste overordnet til den nyansatte bestiller tilgang til IT-tjenester med utgangspunkt i stillingsbeskrivelsen og ansvarsområdet. IT-drift setter opp hvilken tilgang vedkommende skal ha til IT-tjenester i virksomheten. Den ansatte må gjennomgå opplæring og signere på taushetserklæring og regelverk for bruk av IT-ressurser og mobile enheter. Virksomhetens krav til passordstyrke er konfigurert i systemet og bygger på NSMs passord-råd, og virksomheten administrerer oppretting og sletting av brukere, samt sikring av bærbar PC og ansatt-mobiltelefon.
Tiltak og prosedyrer inngår i virksomhetens internkontrollsystem for informasjonssikkerhet.
Eksempel: Sikker sletting
Nett AS skal skifte ut noen servere og mobiltelefoner. IKT-sikkerhetskoordinator vurderer ulike metoder for å slette data på disse enhetene, vel vitende at samtlige enheter kan ha lagret kraftsensitiv informasjon. Hun lager en rutine som beskriver mulige slettemetoder: Spesiell programvare, avmagnetisering, knusing mv. og makulering av papirsøppel. Også utskrifter kan inneholde kraftsensitiv informasjon.
Sikkerhetsregler for mobile enheter
I bestemmelsen er det krav til å lage sikkerhetsregler for mobile enheter. Virksomhetene kan oppfylle kravet på følgende måte:
- Lag regler for bruk av bærbare pc-er, mobiltelefoner, nettbrett og andre digitale enheter som kan motta, sende eller lese kraftsensitiv informasjon
- Lage regler som dekker sikker bruk og oppbevaring, krav til autentisering, sikker oppkopling og overføring av data til server, sporing og sikker sletting av enhet ved tyveri og avhending
- Sørg for at brukerne av de mobile enhetene er kjent med og har forstått reglene
- La dokumentet som beskriver reglene være en del av internkontrollsystemet
Eksempel: Særskilte regler for beskyttelse av mobile enheter
Nett AS har gitt alle sine ansatte nettbrett og mobiltelefon. IKT-sikkerhetskoordinatoren har laget noen enkle sikkerhetsregler for bruk av disse. Det er for eksempel ikke tillatt å la andre låne nettbrettet og koden skal ikke deles med andre, heller ikke kollegaer. Enhetene blir sikkerhetsmessig administrert av Nett AS. Alle ansatte må gjennomgå en felles grunnopplæring i bruk og sikring av mobile enheter.